• No results found

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna oktober Sundsvalls kommun. Granskning av införandet av dataskyddsförordningen

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Revisionsrapport 2017 Genomförd på uppdrag av revisorerna oktober Sundsvalls kommun. Granskning av införandet av dataskyddsförordningen"

Copied!
17
0
0

Loading.... (view fulltext now)

Download now ( 17 Page )

Full text

(1)

Revisionsrapport 2017

Genomförd på uppdrag av revisorerna oktober 2017

Sundsvalls kommun

Granskning av införandet av

dataskyddsförordningen

(2)

Innehållsförteckning

1 Sammanfattning ... 2

2 Inledning ... 3

Bakgrund... 3

Syfte... 3

Revisionsfrågor ... 3

Revisionskriterier... 3

Ansvarig nämnd ... 3

Genomförande ... 4

Kvalitetssäkring ... 4

3 Dataskyddsförordningen ... 5

Datainspektionens vägledning... 6

4 Granskningsresultat ... 7

Ansvarsfördelning avseende införandet av dataskyddsförordningen ... 7

Verksamhetens arbete inför dataskyddsförordningen... 8

5 Sammanfattande bedömning, svar på revisionsfrågor och rekommendationer ....14

6 Källförteckning ...16

(3)

1

Sammanfattning

På uppdrag av kommunens revisorer har EY granskat arbetet med planering och anpassningar inför den nya dataskyddsförordningen. Syftet har varit att bedöma om kommunstyrelsen och nämnderna arbetar på ett ändamålsenligt sätt med planering och anpassningar inför införandet av den nya dataskyddsförordningen. Granskningen har även syftat till att bedöma om den interna kontrollen inom området är tillräcklig.

Vår sammanfattande bedömning är att kommunstyrelsen och nämnderna inte arbetar på ett fullt ändamålsenligt sätt med planering och anpassningar inför införandet av den nya

dataskyddsförordningen. Den interna kontrollen inom området bedömer vi inte vara tillräcklig.

Granskningen visar att ansvarsfördelningen på tjänstemannanivå inte har tydliggjorts i tillräcklig omfattning. Vi uppmärksammar att ett arbete för att identifiera nödvändiga

förändringar (kartläggning av befintliga system) i nämnderna/verksamheterna har påbörjats, men att omfattningen av arbetet skiljer sig mellan nämnderna. Sammantaget är vår

bedömning att nödvändiga förändringar ännu inte har identifierats i tillräcklig omfattning i nämnderna/verksamheterna.

På kommunövergripande nivå har arbetet med genomförande av nödvändiga anpassningar påbörjats men omfattningen av detta arbete behöver intensifieras och genomföras enligt plan, för att kunna färdigställas innan lagens ikraftträdande. Ute i

nämnderna/verksamheterna har arbetet med nödvändiga anpassningar inte påbörjats i rimlig omfattning. Ett behov finns av information och stöd i detta arbete.

Vi uppmärksammar att ett flertal nödvändiga anpassningar har identifierats inom ramen för det kommunövergripande HIT-projektets fas 1. Arbetet med genomförandet av

anpassningarna har dock försenats, till stor del beroende på resurs- och kompetensbrist.

Underlag för våra bedömningar samt svar på de uppställda revisionsfrågorna återfinns i avsnitt 3 och 4.

Utifrån granskningens slutsatser, ger vi ett antal rekommendationer i det fortsatta arbetet:

Kommunstyrelsen

„ tydliggör hur styrelsens samordnande funktion ska fullgöras.

„ tydliggör ansvarsfördelningen (utser dataskyddsombud).

„ säkerställ att arbetet med de anpassningsbehov som identifierats genomförs innan förordningens ikraftträdande.

„ följer upp det arbete nämnderna genomfört utifrån lagens krav

„ ta fram och genomför utbildningsplan för personal som behandlar personuppgifter Samtliga nämnder

„ tydliggör ansvarsfördelningen (utser dataskyddsombud).

„ säkerställ att nödvändiga anpassningar identifieras och genomförs inom sina respektive verksamheter.

(4)

2 Inledning

Bakgrund

Den 25 maj 2018 kommer den nya europeiska dataskyddsförordningen att ersätta den svenska personuppgiftslagen (PUL) och bli lag i Sverige. Förordningeninnehåller

bestämmelser om hur personuppgifter får behandlas av myndigheter.Det nya regelverket kan, enligt Datainspektionen, innebära stora förändringar för den kommunala

verksamheten, vilket gör det angeläget med noggrann planering och förberedelse för anpassning till det nya regelverket. Det finns annars en risk att den enskildes personliga integritet kränks eller att kommunen tvingas betala sanktionsavgifter, om reglerna inte följs.

De förtroendevalda revisorerna i Sundsvalls kommun har efter genomförd risk- och

väsentlighetsanalys valt att granska kommunens arbete med förberedelse, anpassning och införande av den nya dataskyddsförordningen.

Syfte

Granskningens syfte är att bedöma om kommunstyrelsen och nämnderna arbetar på ett ändamålsenligt sätt med planering och anpassningar inför införandet av den nya

dataskyddsförordningen. Granskningen syftar vidare till att bedöma om den interna kontrollen inom området är tillräcklig.

Revisionsfrågor

I granskningen ska följande revisionsfrågor besvaras:

„ Har styrelsen/nämnden tydliggjort ansvaret? (T.ex ansvar för förändringsarbete samt att utsett dataskyddsombud och tydliggjort dennes roll och uppgifter).

„ Har nödvändiga förändringar med anledning av införande av förordningen identifierats?

„ Har nödvändiga anpassningar påbörjats i rimlig omfattning?

„ Finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i verksamheterna?

„ Har styrelsen/nämnderna informerat nyckelpersoner i verksamheterna om förändringarna och dess innebörd på ett tillräckligt sätt?

Revisionskriterier

Med revisionskriterier avses bedömningsgrunder som används i granskningen för analyser, slutsatser och bedömningar. Revisionskriterierna kan hämtas från lagar och förarbeten eller interna regelverk, policyer beslutade av fullmäktige. Kriterier kan också ha sin grund i jämförbar praxis eller erkänd teoribildning. I denna granskning utgörs de huvudsakliga revisionskriterierna av:

„ Dataskyddsförordningen samt styrande och stödjande material från Datainspektionen (www.datainspektionen.se).

„ Kommunallagen 6 kap. § 7

Ansvarig nämnd

Granskningen omfattar kommunstyrelsen och samtliga nämnder.

(5)

Genomförande

Granskningen har genomförts genom dokumentanalys samt intervjuer. Intervjuerna har huvudsakligen genomförts i juni 2017 och därefter har kompletterande intervjuer genomförts i oktober 2017. Se bilaga Källförteckning, för specifikation av intervjupersoner och granskade dokument.

Kvalitetssäkring

Utöver vår interna kvalitetssäkring har samtliga intervjuade givits möjlighet att komma med synpunkter på rapportutkastet. Detta för att säkerställa att revisionsrapporten bygger på kor- rekta fakta och uttalanden.

(6)

3 Dataskyddsförordningen

Dataskyddsförordningen blir, efter beslut i EU, svensk lag den 25 maj 2018 och ersätter därmed personuppgiftslagen (PUL) i Sverige. Dataskyddsförordningen reglerar, i likhet med PUL, grundläggande bestämmelser om enskildas rätt till skydd av personuppgifter. Att skydda enskildas grundläggande rättigheter och friheter kopplat till personuppgiftshantering är således ett av syftena med dataskyddsförordningen.

En stor del av bestämmelserna i dataskyddsförordningen överensstämmer med tidigare bestämmelser enligt PUL, men några viktiga förändringar finns. Nedan sammanfattas de huvudsakliga förändringarna för organisationer1i korthet.

„ Samtycke - Dataskyddsförordningen bygger i stor utsträckning på aktivt samtycke till registrering. I förordningen ställs särskilda krav på hur samtycke ska lämnas, i synnerhet vid behandling av känsliga personuppgifter (såsom uppgifter om hälsa eller religiös åskådning). Den som behandlar personuppgifter måste kunna visa att giltigt samtycke har lämnats av den som har registrerats.

„ Ökade rättigheter - Enligt dataskyddsförordningen har den registrerade rätt att när som helst begära att få sina uppgifter raderade, med undantag för om det inte föreligger någon rättslig grund för behandlingen. Undantagsfall kan uppstå i de fall organisationen som hanterar personuppgifter behöver dessa för exempelvis bokföringsändamål. Med tanke på de ökade kraven som ställs på att de registrerade enkelt ska kunna få sina uppgifter raderade bör organisationen enligt Datainspektionen se över rutiner gällande hur en sådan begäran hanteras.

„ Dataportabilitet – när uppgifter behandlas med stöd av samtycke eller för att uppfylla ett avtal, ska den registrerade ha rätt att få ut de uppgifter som lämnats för att överföra dem till en annan tjänst.

„ Konsekvensbedömning – innan man planerar en ny personuppgiftsbehandling, vilken innebär särskilda risker för den registrerade, ska en bedömning göras av vilka

konsekvenser behandlingen kan få och vilka åtgärder som behövs för att minska risker för den enskilde.

„ Anmälan om personuppgiftsincident – vid händelse av säkerhetsincident, exempelvis dataintrång eller oavsiktlig förlust av uppgifter, måste det anmälas till Datainspektionen inom 72 timmar. Vid risk för exempelvis id-stöld eller bedrägeri kan de personer vars personuppgifter berörs behöva informeras.

„ Dataskyddsombud – vissa organisationer, myndigheter eller andra former som behandlar känsliga uppgifter, eller är involverade i särskilt riskfylld behandling av

personuppgifter, måste utse en person i organisationen som har som särskild uppgift att bevaka dataskyddsfrågor – ett dataskyddsombud. Ombudet har bland annat till uppgift att utföra kontroller och informationsinsatser. Ombudet ska vara väl insatt i de lagar som gäller för personuppgiftsbehandling.

1Dataskyddsförordningen gäller i princip inom all slags verksamhet och oavsett vem som utför personuppgiftsbehandlingen. Den gäller således för företag, föreningar, organisationer, myndigheter och privatpersoner. I detta avsnitt används begreppet organisation, vilket även innefattar kommuner.

(7)

„ ”Missbruksregeln” försvinner –När dataskyddsförordningen träder ikraft kommer den så kallade missbruksregeln inte längre finnas kvar. Missbruksregeln innebär att man idag kan använda enklare regler för personuppgifter i ostrukturerat material, exempelvis information om personer i e-post, på internet eller i en enkel lista som man har i datorn.

När missbruksregeln försvinner innebär det att samma regler som gäller för

personuppgifter i databaser och ärendehanteringssystem, också ska användas för det som skrivs om personer i exempelvis e-post och på webbplatser.

„ Sanktionsavgift – vid brytande mot förordningens regler kan Datainspektionen ålägga en sanktionsavgift. Avgiftens storlek är bland annat beroende av hur allvarlig

överträdelsen är, om det skett avsiktligt eller inte samt vilka åtgärder som vidtagits för att minska skadan. Vid mindre förseelser riskerar den som bryter mot förordningen ett påpekande eller föreläggande om eventuella brister. Anses brottet däremot vara

allvarligare, eller om organisationen anses ovillig att vidta nödvändiga åtgärder, riskeras böter upp till 20 miljoner euro eller 4 % av företagets/organisationens eller

moderbolagets globala omsättning.

Datainspektionens vägledning

Datainspektionen är tillsynsmyndighet när det gäller kommunernas hantering av

personuppgifter. Enligt Datainspektionens vägledning behöver kommunerna bl.a. förbereda sig inför Dataskyddsförordningens ikraftträdande på följande vis:

„

Försäkra er om att beslutsfattare och nyckelpersoner inom organisationen är medvetna om att personuppgiftslagen kommer att ersättas av

dataskyddsförordningen. Undersök hur organisationen kommer att påverkas av förordningen och identifiera de områden som ni måste arbeta särskilt med.

„

Inventera och dokumentera vilka personuppgifter som hanteras, hur de samlas in och till vem uppgifterna lämnas ut. Gör en bred översyn för att ta reda på vilka uppgifter som hanteras inom de olika delarna av organisationen.

„

Undersök om verksamheten har utnyttjat personuppgiftslagens undantag för att behandla personuppgifter i ostrukturerat material, den så kallade

missbruksregeln. Denna regel kommer inte att finnas kvar i förordningen.

Undersök särskilt om behandling som idag stödjer sig på missbruksregeln är förenlig med dataskyddsförordningens bestämmelser.

„

Granska den information som lämnas till de registrerade och fundera över vilka förändringar av den informationen som kan bli nödvändig att göra.

„

Se över rutiner för att säkerställa att alla rättigheter som de registrerade har enligt dataskyddsförordningen kan uppfyllas, som exempelvis hur personuppgifter raderas och hur uppgifter lämnas ut elektroniskt i ett allmänt använt format.

„

Undersök vilka olika typer av uppgifter som behandlas och med vilket rättsligt

stöd detta görs. Dokumentera slutsatserna.

(8)

„

Undersök på vilket sätt samtycke inhämtas, vilken information som lämnas och hur uppgiften om att samtycke har lämnats av den registrerade sparas.

„

Fundera på hur kontroll av en persons ålder ska göras och hur vårdnadshavares samtycke inhämtas i samband med behandling av barns personuppgifter online.

„

Se till att det finns tillräckliga rutiner på plats för att upptäcka, rapportera och utreda personuppgiftsincidenter.

„

Fundera på om personuppgiftsbehandlingen är förenad med särskilda risker för enskildas fri- och rättigheter och om det i så fall behöver göras en

konsekvensbedömning avseende dataskydd

„

Ta hänsyn till dataskyddsförordningens regler när nya IT-system tas fram eller befintliga förändras. Det ger en större möjlighet att följa reglerna, höja säkerheten och förhindra onödiga framtida kostnader.

„

Bestäm var i organisationen som ansvaret för dataskyddsfrågor ska ligga. Utse ett dataskyddsombud.

4 Granskningsresultat

Ansvarsfördelning avseende införandet av dataskyddsförordningen

4.1.5 Politisk nivå

Av kommunallagen 6 kap. §7 framgår att nämnderna var och en inom sitt område ska se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som fullmäktige har bestämt samt de föreskrifter som gäller för verksamheten.

Av kommunstyrelsens reglemente (Kf januari 2016) framgår att styrelsen har ett

samordnande ansvar inom den kommunala koncernen. Vidare framgår att kommunstyrelsen ansvarar för att leda och samordna utveckling av informationssystem, IT och kommunikation, samt effektivisering av administration. Av informationssäkerhetspolicy för Sundsvalls

kommun (Kf januari 2008) framgår att kommunstyrelsen har det yttersta ansvaret för informationssäkerheten inom kommunkoncernen.

Av samtliga nämnders reglemente framgår att respektive nämnd är personuppgiftsansvarig för behandling av personuppgifter enligt personuppgiftslagen.

4.1.6 Tjänstemannanivå

Av intervjuer framgår att det inom samtliga förvaltningar finns personuppgiftsombud (PUL2- ombud). Ingen av nämnderna har dock ännu utsett dataskyddsombud, enligt den nya dataskyddsförordningen. Av våra intervjuer framgår att PUL-ombuden har uppfattat sig som

2PUL - Personuppgiftslagen

(9)

ansvariga för arbetet med anpassningar efter den nya förordningen, med anledning av sin funktion som personuppgiftsombud.

Av intervjuer framgår vidare att ett dataskyddsombud har rekryterats till Medelpads

räddningstjänstförbund. Avsikten är att dataskyddsombudet ska vara placerat vid förbundet men fungera som ombud för Sundsvalls kommun. Enligt uppgift har förvaltningarna

informerats om möjligheten att köpa denna tjänst via förbundet. Hittills har dock inget beslut fattats i frågan.

Vi uppmärksammar, från våra intervjuer, att det upplevs finnas en otydlighet när det gäller det kommunövergripande, samordnande ansvaret för arbetet med införandet av

dataskyddsförordningen. Otydligheten består i om koncernstaben, under kommunstyrelsen, har någon samordnande funktion i arbetet och i så fall hur omfattande denna samordnande funktion ska vara.

Verksamhetens arbete inför dataskyddsförordningen

4.2.5 Organisation av arbetet samt resurser

Granskningen visar att arbetet med anpassningar inför dataskyddsförordningen bedrivs dels i projektform på kommunövergripande nivå dels på förvaltningsnivå, via

personuppgiftsombuden.

Hållbar informationsförvaltning i tiden (HIT)

Under våren 2016 beställde koncernstaben (IT-direktören) HIT-projektet. Projektet startades upp under hösten 2016 och projektledare, styrgrupp och projektgrupp tillsattes. I styrgruppen ingick IT-direktör, kanslichef, chef servicecenter IT, säkerhetschef, stadsjurist, stabschef, kommunikationsdirektör. I projektgruppen ingick tre IT-strateger, jurist och IT jurist.

Av projektdirektivet framgår att införandet av Dataskyddsförordningen var en av

anledningarna till att projektet startade. Projektdirektiv och projektplan har godkänts på tjänstemannanivå.

Projektets övergripande syfte är att kommunkoncernen ska ha en kvalificerad informationsförvaltning. Ett av projektets effektmål är att:

„ Sundsvalls kommunkoncern ska uppfylla gällande lagstiftning för lagring av

personuppgifter (PUL) samt den kommande lagstiftningen för dataskyddsförordning.

Projektet har delats upp i två faser, varav den förberedande fas 1 skulle vara färdigställd i mars 2017. Av våra intervjuer framgår dock att kommunstyrelsens personuppgiftsombud (tillika jurist med specialkompetens inom området) avslutat sin anställning, vilket resulterat i att projektet påverkats mycket av kompetensbrist. Även projektledaren har avslutat sin anställning varför projektarbetet avstannade under våren 2017. Arbetet med projektets fas 2 har dock återupptagits i oktober 2017, då också en extern konsult har tagits in för att leda projektet.

(10)

möjlighet att erbjuda det stöd som efterfrågas. Ersättare för kommunstyrelsens

personuppgiftsombud, med rätt kompetens bedömdes, vid våra intervjuer i juni, mycket svår att få tag på. Enligt uppgift har ett nytt PUL-ombud för kommunstyrelsen nu (oktober)

engagerats till en omfattning av 50% och denne kommer inom kort att påbörja utövandet av denna roll.

Personuppgiftsombudens arbete ute i förvaltningarna

Inom Sundsvalls kommunkoncern finns totalt 28 PUL-ombud3, vilket motsvarar ett ombud i varje förvaltning/bolag. Dessa PUL-ombud har, enligt våra intervjuer, upprättat ett

kommuninternt nätverk för att arbeta med införandet av dataskyddsförordningen. Nätverket initierades av kultur- och fritidsnämndens registrator, med anledning av införandet av dataskyddsförordningen.

Servicecenter har, som enda verksamhet, avsatt 50 % av sitt PUL-ombuds tjänst för arbetet med dataskyddsförordningen. PUL-ombudet började sin nya roll i maj 2017 och beskriver att vissa områden i uppdraget är otydliga. Exempelvis är det otydligt huruvida rollen innefattar ett kommunövergripande samordningsansvar.

Vid tidpunkten för våra intervjuer (juni 2017) upplever kommunens PUL-ombud att det varierar hur mycket tid varje enskilt ombud har att avsätta för att arbeta med de uppgifter de har i rollen som PUL-ombud. Detta eftersom uppdraget ska rymmas inom ombudens

ordinarie tjänster.

Det upplevs även finnas variationer när det gäller PUL-ombudens kompetens och även detta kopplas till att ombuden har olika möjlighet att avsätta tid för frågan. Erfarenheter från

nätverket är att vissa kommunala bolag i högre utsträckning har prioriterat arbetet med anpassningar inför Dataskyddsförordningen, både kompetensmässigt och i form av avsatta resurser. Nätverket beskrivs av de intervjuade PUL-ombuden som informellt och möjligheten att delta i de koncerngemensamma träffarna upplevs begränsad.

Ett annat problem som upplevs av PUL-ombuden är att det inte finns någon representant från koncernstaben som är drivande i frågan. Det får konsekvenser både

samordningsmässigt och kompetensmässigt, då det numera inte upplevs finnas någon ansvarig som håller samman arbetet i koncernen.

Resurser

Av projektdirektiv för HIT-projektet fas 2 framgår att projektet har tilldelats drygt 200 tkr för år 2017. För år 2018 finns ännu inga medel budgeterade för projektet. I övrigt noterar vi att styrelsen och nämnderna inte har budgeterat särskilda resurser för arbetet med införandet av dataskyddsförordningen. De intervjuade PUL-ombuden bekräftar att det inte tillförts extra resurser för ändamålet. Det arbete som bedrivits har skett inom beslutad ram.

4.2.6 Har nödvändiga förändringar med anledning av införande av förordningen identifierats?

Kommunstyrelsen har i januari 2017 behandlat återrapportering från personuppgiftsombudet (som ej längre arbetar kvar). Rapporten avsåg arbetet med behandling/inventering av

3Personuppgiftsombud.

(11)

personuppgifter inom koncernstaben. Av rapporten framgår att det i ett flertal av de inventerade systemen fanns otydligheter som bland annat rörde:

„ Oklarheter kring hur länge och var personuppgifter lagras

„ Personuppgifter lagras i vissa fall långt längre än nödvändigt

„ Brist på biträdesavtal4trots att jurist bedömer att behov finns

„ Otydligt hur relationerna mellan koncernstaben och servicecenter ser ut rättsligt i relation till reglerna om personuppgiftshantering, vilket skapar oklarheter kring ansvar

„ Brister i informationstillgänglighet för registrerade personuppgifter

I rapporten pekas tre problemområden ut; kunskapsnivå och organisationskultur, oklara ansvarsförhållanden (internt och externt) samt bristande information till de registrerade. I rapporten lämnas också information om vilka åtgärder styrelsen behöver vidta för att anpassa sig till kommande förändringar i lagstiftningen.

Vi noterar att kommunstyrelsen i samband med behandling av rapporten beslutade att uppdra till avdelningschefer vid koncernstaben att i sin verksamhet arbeta med relevanta utvecklingspunkter samt noterade brister.

Identifierade förändringar inom HIT-projektet

Representanter för koncernstaben och servicecenter uppger att en majoritet av de nödvändiga förändringar som behöver göras inför införandet har identifierats. Arbetet

upplevs dock ha varit svårt då kunskapen i hur frågan ska hanteras inte har funnits, och inte heller har kunnat erhållas externt, av exempelvis Sveriges Kommuner och Landsting (SKL).

Av slutrapport för HIT-projektets fas 1 framgår att det inom ramen för projektet har identifierats ett antal åtgärder som återstår att genomföras på kommunövergripande nivå innan lagen träder i kraft. Följande kan nämnas:

„ Uppdatera styrdokumenten utifrån beslutad styrmodell.

„ Ta fram en samlad och tydlig (digital) plats med instruktioner över hur verksamheten ska gå tillväga för att följa gällande styrdokument och regleringar.

o Ta fram en guide med informations-/utbildningsmaterial som ger verksamheten stöd kring frågor som rör informationsförvaltning och informationssäkerhet.

o En genomgång för att strukturera Datainspektionens informationsmaterial om Dataskyddsförordningen

Vidare framgår av rapporten att det tillkommer arbete med att säkra upp ytterligare

styrdokument, informationssäkerhetspolicy och handbok. Koncernstaben avser även säkra upp avtal för utbildning inom området och revidera dokumenten ”Strategi för hantering av allmänna handlingar” och ”Regler för e-arkiv”. Detta ska genomföras i projektets fas 2, där införandet även kommer lägga fokus vid kommunikation och utbildning.

Granskningen visar att projektslutrapporten har behandlats på tjänstemannanivå.

Kommunstyrelsen har inte behandlat rapporten.

4Ett personuppgiftsbiträdesavtal ska upprättas mellan den personuppgiftsansvarige och personuppgiftsbiträdet. Avtalet ska bl.a. föreskriva att personuppgiftsbiträdet får behandla

(12)

Identifierade förändringar i förvaltningarna

Av våra intervjuer med personuppgiftsombuden framgår att den samlade bilden är att

verksamheterna inte i tillräcklig omfattning har identifierat vilka förändringar som nödvändiga med anledning av införandet av Dataskyddsförordningen. Orsaken uppges vara att

möjligheterna till att avsätta tid skiljer sig mellan ombuden. Vissa ombud avser att ta fram en handlingsplan för den nämnd som denne representerar, medan andra upplever det otydligt vem som bör ansvara för detta samt att arbetet försenats på grund av bristande resurser och otydlig ansvarsfördelning.

Vi uppmärksammar att personuppgiftslagen finns med som ett kontrollområde i NAVIs5 riskanalys inför internkontrollplan 2016 och 2017. Av riskanalysen framgick att dåliga

kunskaper om PUL riskerar att leda till felaktig hantering av personuppgifter. Förslaget var att kontrollera detta genom att utbilda anställda eftersom felaktig hantering kan leda till att persons integritet kränks. Inför år 2017 bedömdes dock risken för detta som osannolik och eventuella konsekvenser som försumbar. Vi har i granskningen inte tagit del av någon annan nämnd som behandlat området i sin riskanalys.

4.2.7 Har nödvändiga anpassningar påbörjats i rimlig omfattning?

Genomförda anpassningar inom ramen för HIT-projektet

Av projektslutrapport (HIT-projektet, fas 1) framgår att ett systemstöd som fungerar som ett register över personuppgifter har tagits fram inom ramen för projektet. Systemstödet syftar till att kartlägga vilka personuppgiftsregister som finns inom kommunen. Alla

personuppgiftsombud har tilldelats behörighet till systemet. Systemstödet har olika registreringsfunktioner, och möjliggör kartläggning av vilka system som omfattas av vilka personuppgifter. Det är även möjligt att sortera i registret för att kontrollera vad som är klart inför övergången till Dataskyddsförordningens krav.

Av projektslutrapporten framgår vidare att en bruttolista över tekniska krav som ska beaktas vid upphandling av funktion eller tjänst som kräver ett IT-stöd, eller ett rent IT-stöd i sig, har tagits fram. Denna bruttolista har börjat tillämpas vid upphandling av IT-stöd.

Genomförda förändringar inom förvaltningarna

Av våra intervjuer med PUL-ombuden framgår att det vid intervjutillfället i juni endast var ett fåtal som påbörjat registrering i systemstödet som tagits fram, och detta då endast i

begränsad utsträckning. Ombuden beskriver en osäkerhet i systemets omfattning och att det inte finns några riktlinjer och rutiner för hur systemet ska användas. Enligt uppgift har arbetet i vissa förvaltningar och bolag tagit fart efter våra intervjuer. Det uppges dock vara stor skillnad mellan förvaltningarna såtillvida att det är i de förvaltningar/bolag som tilldelat tid och resurser som arbetet också har kommit igång. Fortfarande återstår mycket arbete att göra innan allt är klart, enligt koncernstaben.

Av våra intervjuer framgår att det hittills i övrigt inte genomförts några anpassningar ute i verksamheterna. PUL-ombuden uppger att de avvaktar vägledning och instruktioner från kommunövergripande nivå när det gäller vad som ska genomföras och de har avvaktat med att inleda ett förändringsarbete inom sin verksamhet eftersom det saknats tillräcklig kunskap och stöd för att påbörja förändringsarbetet.

5NAVI – Nämnden för Arbetsmarknad Vuxenutbildning och Integration

(13)

Av våra intervjuer framgår vidare att verksamheternas PUL- ombud uttrycker ett stort behov av en central samordnande funktion som kan vara drivande i arbetet. De beskriver att samordningen har varit svag, och förordar central samordning ur ett effektiviserings- och likvärdighetsperspektiv eftersom det skulle medföra större enhetlighet inom kommunen, än att alla verksamheter arbetar med egna lösningar.

4.2.8 Finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i verksamheterna?

Granskningen visar att det i kommunen finns ett flertal styrdokument kopplade till IT- säkerhet, informationshantering och informationsförvaltning. Följande kan nämnas:

„ Informationssäkerhetspolicy (2008)

„ Informationssäkerhetshandbok – instruktioner för IT-användare (2012)

„ Informationsförvaltningshandbok (2017)

„ Riktlinjer för informationssäkerhetsklassning (2017)

„ Process för informationsklassning (2015)

„ Riktlinjer för val av molntjänst (2016)

Granskningen visar vidare att ett av delmålen i HIT-projektet fas 1 var: Reviderade styrdokument inom området utefter gällande riktlinjer för styrdokument. Av

projektslutrapporten för fas 1 framgår att detta ännu inte genomförts. Inom ramen för projektet har det dock gjorts en kartläggning över befintliga styrdokument med tillhörande förslag på hur de bör hanteras. I projektslutrapporten föreslås att en översyn görs av styrdokument som påverkar informationsförvaltningen i koncernen.

4.2.9 Har styrelsen/nämnderna informerat nyckelpersoner i verksamheterna om förändringarna och dess innebörd på ett tillräckligt sätt?

Granskningen visar att kommunstyrelsen i september 2017 informerats om arbetet med kommunens IT- och informationssäkerhet. I övrigt kan vi inte se att kommunstyrelsen efterfrågat eller tagit del av information rörande arbetet med förberedelser inför den nya Dataskyddsförordningen.

Av projektslutrapport (HIT-projektet fas 1) framgår att det inom projektet har gjorts en inventering av vilka utbildningar som finns inom området. Vidare har det inom ramen för projektet upprättats visst informationsmaterial i syfte att informera om

Dataskyddsförordningen. Följande kan nämnas:

„ Informationssäkerhet av Myndigheten för Skydd och Beredskap, DISA.

„ En presentation om Dataskyddsförordningen.

„ En presentation om Säker, långsiktig, kvalificerad informationsförvaltning.

Av rapporten framgår att det förstnämnda dokumentet har spridits till verksamheten bl.a.

genom PUL-nätverket. I övrigt har ovanstående material ännu inte spridits till medarbetare i kommunen.

(14)

Representanter för servicecenter och koncernstaben beskriver vid intervjuer att

utbildningsinsatser är på gång, och som tidigare nämnts är avsikten att detta ska genomföras i HIT-projektets fas 2. De betonar även vikten av att kompetensen i verksamheterna höjs.

Av våra intervjuer med verksamheternas PUL-ombud framgår att dessa efterlyser utbildning och information från kommunövergripande nivå när det gäller de kommande förändringarna.

Detta eftersom de upplever det svårt att själv skaffa information på grund av tidsbrist.

Exempelvis behövs vägledning för att kunna bedöma hur lagstiftningen ska tolkas. Andra exempel som, enligt de intervjuade, kräver utbildning och information är hantering av ostrukturerat material då missbruksregeln försvinner, tillvägagångssätt när system omfattar flera verksamheter och olika typer av personuppgifter, eller om en medborgare vill ta bort sina personuppgifter från en verksamhet och personuppgifterna omfattas av andra system.

(15)

5 Sammanfattande bedömning, svar på revisionsfrågor och rekommendationer

Vår sammanfattande bedömning är att kommunstyrelsen och nämnderna inte arbetar på ett fullt ändamålsenligt sätt med planering och anpassningar inför införandet av den nya

dataskyddsförordningen. Den interna kontrollen inom området bedömer vi inte vara tillräcklig.

Bedömningen baseras på nedanstående:

Revisionsfråga Sammanfattande bedömning Har styrelsen/nämnden tydliggjort

ansvaret? (T.ex ansvar för förändringsarbete samt att utse dataskyddsombud och tydliggjort dennes roll och uppgifter).

Vår bedömning är att ansvarsfördelningen på politisk nivå är tydlig. Ansvarsfördelningen på denna nivå regleras i lagstiftning och i

styrelsens och nämndernas reglementen.

Vi bedömer dock att ansvarsfördelningen på tjänstemannanivå inte har tydliggjorts i tillräcklig omfattning. Dataskyddsombud behöver utses av respektive nämnd och därtill behöver styrelsen tydliggöra Servicecenters ansvar när det gäller personuppgiftsbehand- ling samt även tydliggöra styrelsens samord- nande funktion av arbetet.

Har nödvändiga förändringar med anledning av införande av

förordningen identifierats?

Vår bedömning är att nödvändiga förändringar med anledning av införandet av förordningen till stor del har identifierats på

kommunövergripande nivå. Detta har huvudsakligen skett inom ramen för HIT- projektet. Vi uppmärksammar att ett arbete för att identifiera nödvändiga förändringar

(kartläggning av befintliga system) i

nämnderna/verksamheterna har påbörjats.

Omfattningen av arbetet skiljer sig dock mellan nämnderna och vår bedömning är

sammantaget att nödvändiga förändringar ännu inte har identifierats i

nämnderna/verksamheterna, i tillräcklig omfattning.

Har nödvändiga anpassningar påbörjats i rimlig omfattning?

Vi bedömer att arbetet med nödvändiga anpassningar har påbörjats på

kommunövergripande nivå men att omfattningen av detta arbete behöver

intensifieras och genomföras enligt plan, för att kunna färdigställas innan lagens

ikraftträdande. Vår bedömning är också att arbetet med nödvändiga anpassningar ute i nämnderna/verksamheterna inte har påbörjats i rimlig omfattning. Vår uppfattning är att

verksamheterna behöver information och stöd i detta arbete.

(16)

Finns aktuella och ändamålsenliga rutinbeskrivningar för hur

personuppgifter ska hanteras i verksamheterna?

Vår bedömning är att det ännu inte finns aktuella och ändamålsenliga rutinbeskrivningar för hur personuppgifter ska hanteras i

verksamheterna. Vi noterar dock att avsikten är att en översikt av befintliga styrdokument har planterats i HIT-projektets fas 2.

Har styrelsen/nämnderna informerat nyckelpersoner i verksamheterna om förändringarna och dess innebörd på ett tillräckligt sätt?

Vi uppmärksammar att behovet av information och utbildning har uppmärksammats på kommunövergripande nivå, inom ramen för HIT-projektets fas 1. Vi bedömer dock att verksamheternas nyckelpersoner ännu inte har informerats på ett tillräckligt sätt om

förändringarnas innebörd. Denna bedömning baseras huvudsakligen på PUL-ombudens upplevelse av brist på information när det gäller den praktiska innebörden av den nya lagstiftningen.

I syfte att utveckla verksamheten rekommenderar vi att följande prioriteras:

Kommunstyrelsen

„ tydliggör hur styrelsens samordnande funktion ska fullgöras.

„ tydliggör ansvarsfördelningen (utser dataskyddsombud).

„ säkerställ att arbetet med de anpassningsbehov som identifierats genomförs innan förordningens ikraftträdande.

„ följer upp det arbete nämnderna genomfört utifrån lagens krav

„ ta fram och genomför utbildningsplan för personal som behandlar personuppgifter Samtliga nämnder

„ tydliggör ansvarsfördelningen (utser dataskyddsombud).

„ säkerställ att nödvändiga anpassningar identifieras och genomförs inom sina respektive verksamheter.

Sundsvall den 20 oktober 2017

Linda Marklund Petra Nylander

Certifierad kommunal revisor Verksamhetsrevisor

(17)

6 Källförteckning

Dokumentation tillhandahållen av Sundsvalls kommun:

o Informationsförvaltningshandbok o Informationssäkerhetspolicy o Informationssäkerhetshandbok

o Process för informationssäkerhetsklassning o Projektdirektiv HIT-projektet fas 1

o Riktlinjer för informationsäkerhetsklassning o Riktlinjer vid val av molntjänst

o Reglemente för kommunstyrelsen (Kf januari 2016)

o Utökad rapport – inventering av personuppgifter vid koncernstabens verksamhet, med notering av brister

Övrig dokumentation:

o Kommunallagen

o Underlag från Datainspektionen

o Minnesanteckningar från intervjuer samt kompletterande mail/telefonkontakt o Protokoll

Intervjuer har genomförts med:

o IT-direktör

o Jurist

o Chef servicecenter

o Avdelningschef – Servicecenter Administration

o Avdelningschef – Servicecenter IT

o IT-strateg

o PUL-ombud för sex olika nämnders verksamhetsområden

References

Download now ( PDF - 17 Page - 502.10 KB )

Related documents

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna Maj Lunds kommun. Granskning av överförmyndarnämnden

Överförmyndarnämnden beslöt den 12 januari 2016 att uppdra åt överförmyndarenheten att dels ta fram rutinbeskrivningar för granskning av årsräkningar samt att ta fram en plan

Revisionsrapport 2012 Genomförd på uppdrag av revisorerna Oktober Eslövs kommun. Granskning av överförmyndarnämnden

 Likt de dokumenterade rutinerna för granskning av års – och sluträkningar bör nämnden anta uttalade riktlinjer/direktiv för vilka krav nämnden ställer på

Revisionsrapport 2021 Genomförd på uppdrag av revisorerna. Vännäs kommun. Granskning av framtidens äldreomsorg

Vi bedömer utifrån ovanstående att vård- och omsorgsnämnden till viss del har tillsett att det ge- nomförts en tillräcklig analys och uppföljning av kommunens framtida behov

Revisionsrapport 5/2021 Genomförd på uppdrag av revisorerna. Haninge kommun. Granskning av planprocessen

I Haninge kommun ansvarar stadsbyggnadsnämnden för framtagandet av detaljplaner samt beslutar om antagande av detaljplaner som inte är av principiell beskaffenhet eller i övrigt av

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna Juni Stenungsunds kommun. Granskning av delegationsbeslut

Enligt uppgift från sociala myndighetsnämndens ordförande delger dåvarande verksamhetschef för IFO nämnden sin uppfattning om att kommunledningen fattat ett generellt beslut om

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna December Karlshamns kommun. Granskning av arbete med integration och återsökning

 Genomföra analyser och prognoser för antalet nyanlända i arbete respektive utbildning på ett tillförlitligt sätt för att ta höjd av framtida kostnader i form av

Revisionsrapport 2016 Genomförd på uppdrag av revisorerna Örnsköldsviks kommun Granskning av kommunens internbank

Med hänsyn till att räntebindningsstrategin för extern upplåning har stor potentiell påverkan på kommunens ekonomi, rekommenderar vi att räntebindningsstrategin och

Revisionsrapport 2017 Genomförd på uppdrag av revisorerna Mars Trosa kommun

Granskningens syfte är att pröva om årsredovisningen är upprättad i enlighet med den kommunala redovisningslagen och rekommendationer från Rådet för kommunal redovisning